启明星辰终端文档加密产品-铁卷数据安全系统软件产品_主打PPT_

人员
人员 人员
人员 人员 代理管理员申请
客户专用
运营维护思路
负责:普法执法
•细化管控要求 •培训推广宣传管理规定 •安全审计
安全管理小 组
负责:措施和手段
•策略制定和维护 •终端安全事件管理 •终端用户安全服务支持
负责:立法普法执法
•制定文档使用管理 规范制度 •颁布制度 •培训推广宣传文档管理 规定
客户专用
产品组成
铁卷
终端加解密 业务系统加解密 移动设 备查看 密文 铁卷 移动版
文档外 发控制
强制加 密终端
智能加 密终端
加解密 网关
API 接口
密信 外发
客户专用
目录
客户专用
终端加解密实现方式
应用程序
保存 另存
打开 新建
6 5
• 心跳时间跟服务器做同步认证 • 收集终端日志
应用层Hook
加密
客户专用
电子文档安全面临的挑战
资源共享， 介质管理
以讹传讹， 道听途说
没有安全意识的员工
喜欢打听消息的员工
病毒 攻击
资料窃取 介质窃取
黑客
敏感文件
心怀不满的员工
客户专用
企业内部控制基本规范
2009年4月28日，国家财政部、证监 会、审计署、银监会、保监 会联合发布了《企业内部控制基本规范》，并要求自2011年7月1 日起先在上市公司范围内施行。该项法律被知名专家称之为中国版 的“塞班斯法案”。
客户专用
供应商方案
互联网模式 证书模式 USBKEY 阅读器模式
方案 互联网模式 实时管理 可以 安全性 高 采购成本 低 管理成本 低 修改格式 不需要
证书模式 USBKEY 阅读器模式
不可以 不可以 不可以
中 高 高
低 高 中
中 高 中
不需要 不需要 需要
客户专用
目录
客户专用
管理目标
管理层面
2. 记录用户操作日志
客户专用
用户策略介绍
用户类型
设计类应用软件
策略定义
• • •
效果及影响
强制加密设计类应用软件生成的文档， 指定授权的打印机 打印出的文件带水印
研发
限制打印 禁止截屏 打印水印
办公类应用软件
非研发
允许打印 允许截屏
• • • •
生成的文档强制加密 可查看、编辑加密的文档 不限制打印机 不禁止截屏
化控制策略；
• 试点单位选
择
• 方案整体规
划设计
• 监控与优化
• 定义技术文
档管理制度
• 测试与调整
安全控制策 略
• 颁布技术文档
管理制度与人 员培训
• 业务部门沟
通
输 出 成 果 时 间
客户专用
《选型报告》
《总体计划》
《需求说明书》 《目标方案》 《概要设计说明 书》
《详细设计说 明书》 《技术文档管 理制度》
客户专用
铁卷移动版简介
客户专用
目录
客户专用
外发文件控制-外发组件
密信数据外发
• 访问密码 • 时间限制
• 次数限制
• 打印限制
• 自动销毁
客户专用
外发文件控制-外发组件
方案描述 1. 使用密信制作安全文件； 2. 禁止打印； 3. 限制浏览时间； 4. 限制次数； 5. 禁止截屏；
受控文件
研发主机
普通用户离线
提交离线申请
代理管理员
离线授权文件 授权文件
申领USBKEY
USBKEY
可制作一批USBKEY用作部门公用
使用专属 USBKEY
高管用户离线
客户专用
业务场景-文档打印
用户主机
用户主机
未授权的打印机
用户主机
用户主机
授权的打印机 打印水印
1. 后台打印审计
• • 谁打印 什么时间打印
客户专用
铁卷电子文档安全系统
让防泄密更简单
客户专用
来自一个真实世界的泄密事故
客户专用
目 录
企业面临的文档安全风险 铁卷如何降低潜在的文档安全风险 案例分享
威胁主要来自于内部人员
调查显示，近年来由于企业内部人员行为所导致的泄密事故占总泄密事故的52%以上， 内部人员的主动泄密是目前各企业普遍关注的问题。
总裁 特权用户 总监 特殊岗 位 研发 制技 非研发 非制技
客户专用
只解密不加密终端 UsbKey认证 自行解密 UsbKey认证
• 打开文档后自动解密 • 可通过UsbKey进行认证
• 可自行解密加密的文档 • 可通过UsbKey进行认证
• 可自行解密加密的文档 • 工作模式下强制加密AutoCAD、Pro-E、 Office、PDF文档 • 禁止打印 禁止截屏 • 拥有个人模式 • 工作模式下强制加密，可查看、编辑加密的 文档 • 禁止打印 禁止截屏 • 拥有个人模式
受控文件
供应商
文档管理员
机密资料

受控文件
密码限制 时间限制 次数限制
走外发流程，由 专人对文档进行 转换
研发主机
客户专用
外发文件控制-密信外发平台
客户专用
目录
客户专用
系统更稳定
客户专用
功能更灵活
多级 审批 在线 续签 分组 密钥 邮件 预警
客户专用
特色一：分布式部署架构
客户专用
特色二：多密钥管理
客户专用
特色三：代理管理员和多级审批
客户专用
特色四：支持多种身份认证方式
客户专用
特色五：管理员的分级分权
客户专用
特色六：图形化的数据输出
客户专用
特色七：状态和事件的报警
客户专用
其它亮点
• 给个人设置例外安全策略； • 把某一条策略的使用权限分配给某个管理员 管理； • 在线续签Usbkey的使用时间； • …
不做操作
客户专用
加密保护效果
以其他格式打开的加密文档为乱码！
文档被加密
脱离网络环境，加密文档无法打开！ 客户专用
解密申请
客户端提出解密申请
管理员进行审核并解密
客户专用
移动终端离线
提出离线申请 离线申请发送至服务器
允许离线
笔记本用户
天榕管理员
天榕服务器
客户专用
防护效果
加密文档网络内部可用
通过服务器获得授 权
解密
4 下发策略
加解密客户端 驱动层Hook
写入
7 1
服务端
读取
认证和日志 2
Disk I/O
硬盘
驱动层 硬件识别码ID OS Kernel
硬件识别 3
客户专用
强制加密机制
对明文的文档操作
判断进程是否在白名单内
是 否
对文档加密
不做操作
客户专用
智能加密机制
打开文档时
判断文档当前状态
密 明
对文档加密
项目 选型
客户案 例 产品成 熟度 服务支 持能力
客户专用
目录
客户专用
目录
Hale Waihona Puke Baidu
客户专用
PDM系统保护方案
PDM Client
加解密网关
PDM1
PDM2
PDM Client
客户专用
移动办公方案
互联网模式 证书模式 USBKEY
认证方式 互联网模式 证书模式 USBKEY 实时管理 可以 不可以 不可以 安全性 高 中 高 采购成本 低 低 高 管理成本 低 中 高
参观客户
产品测试
方案评估
客户专用
技术选型
透明加解密
• 深圳大成天下 • 北京亿赛通 • 北京思智泰克 • 上海华途
磁盘加密
• 明朝万达 • PGP
DLP
• WebSense • McAfee • Symantec
权限管理
• MS DRM • 上海前言
客户专用
选型综合考评
实施经 验 积极性 公司规 模
•
外发需要申请解密
安 全 需 求 控 制 策 略
信 息 泄 密 与 非 授 权 访 问
1. 限制打印
• •
只允许打印到授权的打印机 只允许使用特定的截屏软件截屏
设备控 制
2. 禁止截屏
1. 关键业务系统的访问控制
•
仅允许安装了铁卷客户端的机器访问关键 业务系统
准入
1. 记录管理员操作日志
•
无
日志审 计
《测试方案》 《测试报告》
《系统上线方案》 《用户操作手册》 《问题跟踪列表》
《运维手册》 《验收报告》
2010-1
2010-2
2010-2-23
2010-4-6
2010-4-20
2010-5-8
2010-6-5
目录
客户专用
项目选型过程
确定需求
市场调查
供应商交流
供应商初选
供应商提供 方案
供应商精选
文档安全管 理员
文档安全控制需求
加载管控策略
公司 IT
负责:遵守、执行
业务部门
•遵守和执行规定和制度 •提出对文档安全管理需求
客户专用
基础策略
客户专用
控制策略分类
重要风险 关键控制点
1. 研发等相关部门终端上的设计文档全部加密 •
用户影响
未安装客户端的用户无法访问加密文档
文档加 密
2. 关键业务系统文件下载上传自动加、解密
用户测试
全面实施
项目验收与 运维优化
• 研发信息安
全总体方案 设计
• 成立项目组 • 项目计划与
人员安排
• 调研问卷设计
与调查
• 确定详细方
案设计
• 选择代表性
试点项目组
• 成立信息安全
管理小组
• 项目验收 • 系统运行与
维护
主 要 工 作
• 安全需求调研
• 安装辅助应
用软件
• 定义测试用
户与场景
• 全面实施并优
《企业内部控制基本规范》作为上市公司必须遵循的法律，要求企 业尽快建立一个有效的安全性信息管理平台，尤其体现在企业内部 数据的安全性、保密性、完整性等方面。这项法律的颁布与实施， 将对国内近2000家上市公司产生巨大的影响。
客户专用
泄密的分类
主动泄密
• 将企业内部文档私自 拷贝外带泄密； • 越权访问非授权数据 泄密； • 盗用他人账号及设备 非法访问数据泄密； • 伙同他人实现机密文 档跨安全域转移泄密； • 通过打印机、传真机 等将敏感数据进行介 质转换泄密； • 私自携带笔记本设备 接入内部网络非法下 载数据泄密；
目录
客户专用
加解密网关简介
客户专用
API接口简介
• 授权企业在业务系统中使用 • 二次开发（业务系统） • 按需实现文档在业务系统中的加解密
客户专用
目录
客户专用
铁卷移动版简介
• 实现手机和平板上查看密文； • 支持的系统：IOS和Android系统； • 支持的文件：Office、WPS和PDF
客户专用
目 录
企业面临的文档安全风险 铁卷如何降低潜在的文档安全风险 案例分享
案例分享
案例名称：美的集团信息防泄密项目 产品名称：铁卷电子文档安全系统
产品厂商：深圳市大成天下信息技术有限公司
客户专用
美的项目总体介绍
阶 段
总体方案 设计与 产品选型
项目启动
调研与 需求分析
详细方案 设计与基础 环境准备
企业内部网
通过拷贝或任何方式外发 的文档，在脱离加密网络 环境之后打开为密文。
非法手段窃取的文档，由 于没有客户端，文档无法 打开。
客户专用
详尽的操作审计日志
通过关键字查询：
• 日期 • IP地址 • 终端别名 • 操作类型 • 操作结果 •按部门
终端日志：
终端对文档操作的详 细日志
客户专用
业务场景-用户离线
客户专用
防泄密的目标
安全风险 高
70% 安全隐患
为了保障企业核心竞争力， 我们必须把潜在IT风险降 到最低
安全风险
数据来源：福里斯特公司
低
客户专用
目 录
企业面临的文档安全风险 铁卷如何降低潜在的文档安全风险 案例分享
目录
客户专用
铁卷是什么
铁卷是一款采用了文件过滤驱动技术的内核透 明加密解密的电子文档保护软件。
被动泄密
• 移动笔记本、USB存 储设备遗失或失窃导 致数据泄密； • 邮件或网络误操作、 误发送引起的泄密； • 保密意识淡薄对敏感 数据保管不当引起的 泄密，如随意共享等； • 感染病毒、木马后引 发的敏感数据泄密； • 移动笔记本、USB存 储设备和硬盘等维修、 废弃时引发的泄密
第三方泄密
• 1. 合作伙伴、外协人 员接入内部网络非法 获取机密文档泄密； • 2. 发送给客户、合作 伙伴及其他关系密切 人员的机密文档保管 不当或恶意扩散引起 的泄密；
防泄密项目阶段目标
信息安全控制手段 安全管理小组架构与职责 运行与维护流程 日志审计
信息
受控文件： 设计图纸 实验报告 工艺卡片 … 非受控文件： 日常办公文档 …
人员
受控用户： 研发部
设备
控制打印设备 控制计算机截屏
业务流程
受控文件外发申请 远程访问客户端申请 特殊权限申请
人员
非受控用户： 其它部门用户 人员
业务申请流程
防泄密项目技术实施
服务器平台搭建 客户端安装 策略分步下发
用户培训
试运行
防泄密系统运维体系 构建
常见问题解决方法 系统运维手册
客户专用
实施阶段目标
第一阶段 用户测试
• 选择业务部门代表组成测试 组 • 测试、完善基础安全控制框
第二阶段 全面实施
• AD域推送部署，全面开展完 成项目实施工作 • 分步下发基础安全策略
铁卷电子文档安全系统工作在操作系统和应用程序之间，应用层程序 与加密解密的工作无关。通俗点说，就是应用程序（例如Word/AutoCAD） 根本就不知道发生过加密/解密这回事儿。 在文件保存的时候，铁卷电子文档安全系统在内核中将文件加密，储 存在硬盘的时候已经是密文文件了；在打开文件的时候，铁卷电子文档安 全系统又将文件解密，再传给应用程序。
自行解密
AutoCAD Pro-E Office PDF 禁止打印 禁止截屏 个人模式
回家办公
Office PDF 禁止打印 禁止截屏 个人模式
目录
客户专用
实施方法
技术秘密管理制度发 布（研发、制技）
文档管理策略 文档使用规范
宣导推广和培训
网站信息发布
发送培训教材
防泄密项目实施
文档管理规范 技术控制方案 运维服务体系